Hackers kunnen makkelijker 06-nummer overnemen
Dankzij de komst van de digitale simkaart wordt het voor hackers makkelijker om 06-nummers over te nemen. Dat concludeert RTL Nieuws op basis van eigen onderzoek. De zwakke schakel is de e-sim, een nieuwe digitale simkaart. Die is met alleen een wachtwoord op afstand over te nemen.
Een hacker hoeft alleen het 06-nummer te weten en het wachtwoord te raden om toegang te krijgen tot alle online accounts die zijn gekoppeld aan het telefoonnummer, zoals e-mail, sociale media en betaaldiensten. Vorig jaar werden al honderden Nederlanders geconfronteerd met sim-swapping. Dat is de methode die ook gebruikt wordt bij aanvallen via de e-sim. Alleen maakt de e-sim het nog makkelijker, aldus RTL Nieuws.
Geen verificatie
Het voordeel van de e-sim is dat er meerdere abonnementen op één telefoon kunnen worden gebruikt. Het werkt niet op alle telefoons. Geschikte toestellen zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim.
De e-sim wordt inmiddels verspreid door T-Mobile. Het is geen echte sim-kaart, maar een programma in de telefoon dat via een QR-code gedownload en geactiveerd wordt. Wie weet in te breken op de account bij T-Mobile kan een nieuwe QR-code aanvragen en de telefoon van het slachtoffer overnemen. T-Mobile verifieert namelijk niet wie er inlogt en wie de e-sim op welk toestel activeert. Het slachtoffer krijgt nog wel een sms met de mededeling dat een e-sim is geactiveerd.
Vormen van criminaliteit
Er zijn verschillende vormen van criminaliteit mogelijk na het hacken van het 06-nummer. De hackers kunnen het slachtoffer afpersen, ze kunnen inloggen bij betaaldiensten als PayPal of via de cryptocurrencybeurs Coinbase geld stelen. Het is al gebeurd dat slachtoffers op die manier honderdduizenden en soms miljoenen euro’s kwijt raakten, aldus RTL Nieuws. Ook kan het 06-nummer worden misbruikt om wachtwoorden van online-accounts opnieuw in te stellen.
Voor de komst van de e-sim was sim-swapping een stuk lastiger. Er waren meer gegevens nodig om de operator van de telecomprovider om de tuin te leiden, want alleen die kon een 06-nummer aan een andere sim-kaart koppelen.
Accounts doorverkocht
Volgens RTL Nieuws worden nu al gehackte T-Mobile-accounts doorverkocht. De prijzen variëren van een paar tot tientallen euro’s. Dat het zo makkelijk gaat komt omdat mensen vaak één wachtwoord voor meerdere toepassingen gebruiken. Als al eens een account met hetzelfde wachtwoord is gehackt, is dat wachtwoord bekend en wordt het ook gebruikt om in te breken bij T-Mobile en zo het 06-nummer van het slachtoffer over te nemen.
T-Mobile is inmiddels op de hoogte gebracht en zegt te onderzoeken of en hoe het verificatieproces voor e-sim aangescherpt kan worden. Volgens experts zou het al een grote verbetering zijn als de QR-code voor activatie niet op de website wordt getoond, maar per e-mail wordt verzonden. De hacker moet dan ook bij de e-mail van het slachtoffer kunnen komen.
Zolang de beveiliging niet verbeterd is, luidt het advies om e-sim niet te gebruiken of anders in ieder geval een sterk en uniek wachtwoord te kiezen. Ook is het handig om niet het 06-nummer te gebruiken om accounts te beveiligen, maar een authenticator-app als Authy. Dat werkt onder andere voor Gmail, Microsoft, Facebook, Instagram, Dropbox en Twitter.